• 项目

Windows 管理

终端服务部署指南

James D. Silliman

 

概览:

  • 通过几个步骤即可部署终端服务
  • 在 TS 环境中优化 Office
  • 使用 TS 有效地管理用户

早在 1998 年,Microsoft 发布了 Windows NT 4.0 Terminal Server Edition(代号为“Hydra”)。Microsoft 获得授权使用 Citrix Systems 的技术,创建了它的第一个瘦客户端/

服务器产品。对于系统管理员而言,部署“Hydra”比较困难。几年时间很快过去,终端服务发生了重大变化。它完全集成到内核中,可以通过内置的安装向导轻松进行设置,不需要使用单独的 CD 或进行 Internet 下载。除了安装比较容易,在贵组织中部署终端服务还有许多好处。最直接的好处是所有应用程序都在中心服务器上运行,这样就不用担心客户端体系结构和硬件方面的问题。最终用户只需要一个远程桌面协议 (RDP) 客户端就可以连接到中心服务器。幸运的是,当前的大多数体系结构都可以使用 RDP 客户端。

在本文中,我将介绍如何在现有 Windows Server® 2003 安装中启用终端服务、如何应用终端服务组策略以及如何使用自定义安装向导来自动完成 Microsoft® Outlook® 配置文件的设置。完成操作后,您将可以使用完全部署的终端服务器为用户提供各种应用程序。

入门

在设置终端服务时,您首先需要打开内置的“配置您的服务器向导”,该向导位于 Windows Server 2003“管理工具”中。选择“终端服务器”,然后单击“下一步”直到完成该向导。安装程序会发出警告,为了初始化所做更改,它将自动重新启动计算机。重新启动之后,服务器将处于终端服务器模式。

此外,请确保您在开始操作前已获得终端服务客户端访问许可证 (CAL),否则在成功部署后将无法进行连接。现在,将运行终端服务的框加入到 Active Directory® 域中,然后使用具有域管理员权限的帐户登录。如果不在域中,则继续操作会非常困难,因为您无法强制实施组策略。在本文中,安装终端服务的服务器名为 TS01。

接下来,从“管理工具”中启动“Active Directory 用户和计算机”,然后创建用于放置终端服务器的新组织单位 (OU)。为简单起见,我们为该 OU 指定一个非常原始的名称“终端服务器”。找到终端服务器 TS01,然后将其移动到新的终端服务器 OU 中。

接下来,从 microsoft.com/windowsserver2003/gpmc 下载并安装组策略管理控制台 (GPMC)。使用此管理实用工具,您可以设置新的组策略、为其分配权限以及编辑该策略,以便为将要进行连接的任何用户打开或关闭适用的策略设置。GPMC 是终端服务部署的一项基本工具,它具有内置的建模向导,可以立即反映出已针对用户应用了哪些策略以及尚未应用哪些策略。

从“管理工具”中启动 GPMC 控制台,定位到“组策略管理”窗口左侧的新终端服务器 OU。右键单击该 OU,选择“在此处创建并链接 GPO”(如图 1 所示),然后为它指定一个实用的名称,如“终端服务器策略 #1”。

图 1 创建并链接新 GPO

图 1** 创建并链接新 GPO **(单击该图像获得较大视图)

您会注意到 GPMC 窗口右侧的“安全筛选”框中出现一个“经过身份验证的用户”组。默认情况下,该组将被添加到所有组策略对象 (GPO) 中。单击该组,然后单击“删除”按钮。对于在用户登录到 TS01 时应用 GPO 的 Active Directory 树,您希望在该树中设置一个终端服务组。我们将该终端服务组称为 BottleWashers。继续进行操作,使用“管理工具”中的“Active Directory 用户和计算机”将其添加到 Active Directory 结构中。您还需要将 BottleWashers 添加到 TS01 上的“远程桌面用户”组中以及所安装的任何其他终端服务器上。

现在,确保您位于“范围”选项卡上。单击“安全筛选”框中的“添加”按钮,然后将 BottleWashers 添加为组。BottleWashers 将自动获得对“终端服务器策略 #1”的“读取组策略”和“应用组策略”权限。这两个权限是默认的组策略权限,是将任何策略应用到对象所必需的权限。

接下来,将服务器 TS01 也添加到“安全筛选”框中。对于此操作,有一个额外的步骤。首先单击“添加”,然后确保在“对象类型”下选中了“计算机”选项卡中的复选框;否则,GPMC 在 Active Directory 中将找不到 TS01。最终的结果应与图 2 相似。

图 2 在“安全筛选”下添加 TS01

图 2** 在“安全筛选”下添加 TS01 **(单击该图像获得较大视图)

同样,通过将 TS01 添加到“安全筛选”框中,会自动对其应用正确的策略权限。此时,进行以下操作是一个好主意:单击右侧 GPMC 屏幕顶部的“委派”选项卡,然后找到“域管理员”(默认情况下任何新策略上都列出)。单击屏幕右下角的“高级”按钮。

现在,您会看到“组策略的安全设置”对象。确保重点关注“域管理员”,然后找到底部的“应用组策略”设置。在右侧,选中“拒绝”选项。在单击“确定”时,您会收到在每次设置“拒绝”权限时发出的标准警告消息。此步骤可防止将新 TS 策略应用于“域管理员”- 这不是希望看到的结果。

记得我建议过您准备好 Microsoft CAL 吗?您需要查看授权材料,并确定您购买了哪些终端服务 CAL。有两种类型的终端服务器 CAL:用户和设备。有关授权的详细信息,请访问 microsoft.com/windowsserver2003/howtobuy/licensing/ts2003.mspx

基本上,每用户授权允许一个用户仅使用一个终端服务器许可证,而对于用户连接到的设备 (PC) 数量没有限制。

如果域中没有终端服务器许可证服务器,请定位到可以承担该角色的成员服务器。虽然支持将 TS01 设置为授权服务器,但最好不要这样做,因为如果要在以后向贵组织中添加更多终端服务器,则无法在基础结构中建立较高的容错能力。转到所建议的授权服务器的“控制面板”。打开“添加/删除程序”|“Windows 组件”|“终端服务器授权”,然后按照提示来启用授权服务器。完成此操作后,单击“开始”|“运行”并输入以下内容:

tscc.msc

执行此操作后,将进入“终端服务器配置\服务器设置”树。在该树中,单击“服务器设置”|“授权”,然后选择“每用户”或“每设备”。默认选择是“每设备”。如果域中已经有终端服务器授权服务器,则“终端服务器策略 #1”中存在指示承担许可证服务器角色的服务器的设置。完成此任务后,再次转到“开始”|“运行”并键入以下内容:

licmgr.exe

现在,您需要激活 CAL 以便用户可以进行连接。可以通过电话或 Web 完成此操作,非常方便。然后,用户应该能够连接到您的终端服务器,但还没有强制实施的策略,因此让我们开始设置几个重要的策略。知识库文章“如何锁定 Windows Server 2003 或 Windows 2000 终端服务器会话”中说明了一些 Microsoft 建议使用的策略。

启用策略

需要注意的要点是:在不清楚每个策略的具体作用时,请不要随便开始启用策略权限,否则可能会得到一些出乎意料的结果。更好的方法是在开始时启用几个基本策略,并在实验室环境中对其进行广泛的测试。

您希望强制实施的第一个策略可能是环回策略。若要启用该策略,请启动 GPMC,定位到“终端服务器策略 #1”,右键单击该策略,然后选择“编辑”。转到“计算机配置”|“管理模板”|“系统”|“组策略”,然后启用“用户组策略环回处理模式”设置。在启用此策略后,设置其模式值,该值可以是“替换”或“合并”。为了在终端服务中获得最佳结果,请选择“替换”。

应该启用的另一项终端服务器设置是“将管理员安全组添加到漫游用户配置文件”,该设置位于“计算机配置”\“管理模板”\“系统”\“用户配置文件”中。此设置确保您(管理员)始终对用户配置文件文件夹具有完全控制权限。需要尽早而非在较晚时候完成此设置,因为如果已在用户首次登录后创建了文件夹,则无法应用此设置(参见图 3)。

图 3 启用“添加管理员安全组值”

图 3** 启用“添加管理员安全组值” **(单击该图像获得较大视图)

在“计算机配置”\“管理模板”\“Windows 组件”\“终端服务”中,您会找到全部策略。考虑启用以下策略:

  • 将终端服务用户限制到一个远程会话
  • 为 TS 漫游配置文件设置路径
  • TS 用户主目录

但请注意,与您想象的可能不同,将终端服务用户限制到一个远程会话不会防止用户多次登录。而在用户尝试启动第二个终端服务会话时,他只是接管第一个已登录会话。

漫游配置文件是正确进行终端服务器操作的一项基本元素。默认情况下,在用户登录到终端服务器时,即使您对用户隐藏了 C: 驱动器,也会在终端服务器的 C: 驱动器上创建一个本地配置文件。漫游配置文件的默认行为是在用户注销时,将该本地配置文件与网络共享的漫游配置文件同步。可以设置一个组策略在用户注销时清除该本地配置文件。

接下来的两个终端服务策略(上面已经提及),即“为 TS 漫游配置文件设置路径”和“TS 用户主目录”,都与漫游配置文件有关。通常,在 Active Directory 用户的“终端服务配置文件路径”框中对这些设置进行硬编码。通过组策略设置终端服务路径更加容易,应优先使用该方法。在“Active Directory 用户和计算机”的终端服务配置文件路径中,如果设置新用户或复制现有用户,则每次都必须手动添加 TS 服务器配置文件路径信息 - 这会带来很多麻烦。更好的方法是将这些路径设置为网络共享,然后使用 GPO 来配置这些路径。

文件夹重定向

现在,我们来简要了解另一个非常重要的终端服务组件,即“文件夹重定向”,该组件通过防止过长时间的登录和注销来优化 TS 的使用体验。可以重定向的文件夹包括 Application Data、Desktop、My Documents 和 Start Menu。这四个文件夹必须位于网络共享上,并且需要特定的访问控制列表 (ACL)。有关此主题的详细信息,请参阅知识库文章“如何在 Windows 2000 和 Windows Server 2003 中使用文件夹重定向功能动态地创建更安全的重定向文件夹”。

文件夹重定向功能的优势在于每次用户登录或注销时,无须复制整个用户配置文件。终端服务识别出这些文件夹驻留在网络上,基本上只提供指向这些文件夹的指针。

建议您通过漫游配置文件和文件夹重定向来利用分布式文件系统 (DFS),以简化网络共享的维护。由于篇幅限制,本文不再介绍 DFS,您可以在 DFS 资源中心了解到有关 DFS 的详细信息。

文件夹重定向设置位于“用户配置”\“Windows 设置”\“文件夹重定向”中(参见图 4)。文件夹重定向的文件夹值非常简单。您可能希望在每个文件夹重定向设置中清除“授予用户独占权限”的复选框,否则管理员将无法访问这些文件夹。

图 4 文件夹重定向设置的位置

图 4** 文件夹重定向设置的位置 **(单击该图像获得较大视图)

安装 Microsoft Office

现在,您已经有了一些基本策略,让我们开始安装 Microsoft Office 2003 或 2007 Microsoft Office System。Microsoft Office 针对终端服务进行了优化,因此在安装过程中不需要进行很多更改。默认情况下,Office 套件的高带宽项处于关闭状态。此时,您需要下载并安装组策略管理模板文件(ADM 文件),这样您可以控制 Office 套件内的策略。

所需的 ADM 文件位于 microsoft.com/office/orkarchive/2003ddl.htm。这里您只需要下载两个文件:Office 模板文件 (ORKSP2AT.exe) 和自定义安装向导。但是,第二个文件仅在要部署 Office 2003 时才是必需的。2007 Office System 不使用此向导;您只需单击“开始”|“运行”并键入“Setup /a”,它就会自动启动。

解压缩完第一个文件 ORKSP2AT.exe 后,您会看到许多文件。office11.adm 和 outlk11.adm 文件是需要重点关注的文件(参见图 5)。

图 5 Office 模板文件

图 5** Office 模板文件 **(单击该图像获得较大视图)

启动 Windows Explorer,并将这两个文件复制到 %systemroot%\inf。返回并再次启动 GPMC 控制台。定位到“组策略对象”下的“终端服务器配置文件 #1”,右键单击该配置文件,然后选择“编辑”。现在,转到已定义策略内的“计算机配置”\“管理模板”。右键单击“管理模板”,并选择“添加/删除模板”,如图 6 所示。

图 6 将管理模板添加到 GPO 中

图 6** 将管理模板添加到 GPO 中 **(单击该图像获得较大视图)

现在,您会发现这两个文件都可以使用。分别添加这两个文件。这些模板文件位于“用户配置”\“管理模板”\“Microsoft Office 2003”和“用户配置”\“管理模板”\“Microsoft Office Outlook 2003”中。您可以浏览这些模板设置,并根据需要来启用或禁用模板设置。

我不会在此介绍很多设置,但您可能希望删除两个设置,即“Office 助手”和“Outlook 自动存档”。请注意,默认情况下禁用了一些设置,如“Exchange 缓存模式”和“垃圾邮件筛选”,因此不必禁用这些策略。

有关详细信息,请参阅“通过终端服务禁用的 Outlook 功能”。可以轻松禁用“Office 助手”,方法是选择“用户配置”\“管理模板”\“Microsoft Office 2003”\“助手”\“组策略中的选项”。

在终端服务环境中,您不希望用户不断地收到要进行某些操作的提示。例如,Outlook 的“邮件自动存档”设置中的提示是特别分散用户注意力的一种提示。如果在组策略中忽略此设置,则会在特定的时间间隔提示用户进行自动存档。禁用此设置会完全关闭其“Outlook 首选项”菜单。当然,您可能希望自动存档,以便调整“用户配置”\“管理模板”\“Microsoft Office Outlook 2003”中\“工具”|“选项”\“自动存档”策略中的设置。

下一个确保成功部署终端服务的步骤是设置 Outlook PRF 文件,这样用户就不会收到手动配置其 Outlook 设置的提示。此任务看上去非常艰巨,但实际并非如此。这需要安装 OrkTools,以及使用自定义安装向导创建 PRF 文件,该文件通知 Outlook 安装向导如何运行。2007 Office System 中包含的机制使此过程显得比较陈旧过时,但如果希望,您仍然可以在 Office 中使用 PRF 文件。

现在,我们通过 CIW 设置 Outlook PRF 文件。您无需实际完成整个 CIW 例程,只需完成导出已修改的 PRF 文件所需的部分。该部分只有几个步骤。

首先,启动并解压缩先前下载的第二个文件(自定义安装向导)。从“开始”|“程序”|“Microsoft Office 2003 资源工具包”中启动该向导后,系统将要求您提供 Office 2003 MSI 文件的位置。放入 Office 2003 光盘,并指明 MSI 文件的名称和路径。

接下来,直接转到 CIW 的第 17 页(共 24 页),跳过 CIW 的其余部分直接创建 PRF 文件。在步骤 17 中,选择“新建配置文件”并为它命名(如 Outlook),然后单击“下一步”。您可以在显示的屏幕中选择 Exchange Server(如图 7 所示)。键入 Exchange Server 的名称,然后单击“下一步”继续。

图 7 配置 Exchange Server 连接

图 7** 配置 Exchange Server 连接 **(单击该图像获得较大视图)

将 Outlook 通讯簿添加到所创建的配置文件中是一个好主意。执行此操作后,用户可以在撰写新邮件时选择其联系人。仅这一个步骤就可以为您节省大量的手动操作。如果选择“添加”按钮,您还可以在此配置其他自定义的功能。单击“下一步”,此后需要进行的操作只是导出 PRF 文件。

此时,需要创建一个批处理文件并将其放到域控制器(而非 TS01)上的 Netlogon 共享中。该批处理文件将启动所需的任何映射,并设置 PRF 文件以便进行部署。我编写了 WMI 脚本,使您可以轻松地完成此任务。但是,请仅将这些脚本作为指导;您需要插入与您的情况相关的信息。如果希望,可以使用其他脚本处理器,如 KiXTart。

您的批处理文件 (logon.bat) 应包括以下行:

REM Logon.bat
@echo off
wscript %0\..\clean.vbs
wscript %0\..\outlook.vbs

Clean.vbs 文件将删除首先运行的注册表项,这样 Outlook 将处理 PRF 文件:

' Clean.vbs
Const HKEY_CURRENT_USER = &H80000001
sComputer = "."
Set oRegistry=GetObject("winmgmts:\\" & _ 
    sComputer & "\root\default:StdRegProv")
sKeyPath = "Software\Microsoft\Office\11.0\
    Outlook\Setup"
sValueName = "First-Run"
oRegistry.DeleteValue HKEY_CURRENT_USER, sKeyPath, _
    sValueName

Outlook.vbs 会将适当的 Outlook 安装密钥添加到每个终端服务器用户的注册表中。您需要在“SValue=”设置中提供自己的路径,并且不要忘记将实际的自定义 PRF 文件添加到真正的网络目录中:

sValue = \\Serv01\PRF\Outlook.prf

更改此路径,将 Outlook.prf 文件放入其中:

' Outlook.vbs
Const HKEY_CURRENT_USER = &H80000001
sComputer = "."
Set oRegistry=GetObject("winmgmts:\\" & _
  sComputer & "\root\default:StdRegProv")
sKeyPath = "Software\Microsoft\Office\11.0\Outlook\
    Setup"
oRegistry.CreateKey HKEY_CURRENT_USER, sKeyPath
sValue = "\\Serv01\PRF\Outlook.prf"
sValueName = "ImportPRF"
oRegistry.SetStringValue HKEY_CURRENT_USER, _
    sKeyPath, sValueName, sValue

部署计划中的下一项是在 TS01 上安装 Office 2003 或 2007 Microsoft Office System。前面我提到过,Microsoft Office 针对终端服务环境进行了优化。不再需要创建任何自定义转换。您可以关闭未预先选择的 Office 功能,但此操作不是必需的。相反,还可以打开功能,但这样做可能会对带宽产生负面影响。请记住,在实际运行中部署任何功能之前,要在实验室环境中测试这些启用的功能。

在安装任一版本的 Microsoft Office 之前,需要将 TS01 置于适当的用户模式。可以从以下两种模式中进行选择:安装和执行。在执行任何软件安装之前,应处于安装模式中。若要将 TS01 置于安装模式,请在命令提示符处键入以下内容:

C:>change user /install

安装完成后,通过键入以下内容使 TS01 返回执行模式:

C:>change user /execute

如果在 TS01 上运行 Setup.exe 或 Install.exe 文件,则会自动启动安装模式。所有 Microsoft 产品都具有这些启动文件。但是,一些应用程序不使用其中任一启动文件,因此使用“更改”命令是安全的方式。如果忘记处于哪种模式该怎么办?只需执行以下命令就能知道处于哪种模式:

C:>change user /query

如果已完成上述操作,则一切事项都已就绪。现在,可以转到 Windows 客户端工作站,单击“开始”|“运行”,然后键入以下命令:

mstsc

如果使用的是 Windows 2000,您可以下载 Microsoft 终端服务客户端 (Mstsc) 实用工具

接下来,将显示“远程桌面连接”屏幕。只需键入终端服务器名称或 IP 地址即可进行连接。“选项”按钮下有许多可用的选项,如是否连接本地驱动器或打印机,或者是否更改视频分辨率。还可以将 TS01 硬编码到“选项”区域中,然后将 RDP 配置文件保存到桌面。默认情况下,RDP 配置文件名为 Default.RDP。

管理任务

如果希望在 TS01 上执行一些管理任务,最佳选择是使用以下命令,因此它可以模拟操作(您就像实际坐在控制台旁边一样):

Mstsc /console

如果要管理许多不同的终端服务器,您可能希望使用“管理工具”中的“远程桌面”实用工具,这样就可以将所有远程终端服务器添加到一个单独的树格式中。

您应该了解的最后一个命令是 Tsadmin,通过该命令您可以查看哪些用户已连接到终端服务器,以及用户已打开哪些 Windows 进程。使用该命令,您还可以隐藏用户,这对管理员非常有用。但请注意,如果从工作站启动 TSadmin,则无法隐藏用户。您将只能查看连接。若要隐藏用户、向用户发送消息或注销用户,则必需直接登录到 TS01。

总结

现在,您应该对终端服务有了全面深入的了解,这样您就可以非常轻松地部署终端服务器了。还有许多主题需要进行进一步的探讨,包括组策略设置和 DFS,但如果记住基本内容(如在设置 GPO 时不要走极端、在将其部署到用户之前进行广泛测试),您就具有了一个良好的开端。

James D. Silliman拥有 MCSE 认证,是 DirectApps, Inc. 的高级系统工程师,他是终端服务器部署方面的专家。DirectApps 构建 .NET 解决方案并提供托管和 ASP 服务。您可以通过电子邮件 James@directapps.com 与他联系。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.